Из Википедии, свободной энциклопедии
Перейти к навигации Перейти к поиску

Self-XSS ( самостоятельный межсайтовый скриптинг ) - это атака социальной инженерии, используемая для получения контроля над веб-аккаунтами жертв. При атаке Self-XSS жертва атаки по незнанию запускает вредоносный код в своем собственном веб-браузере, таким образом раскрывая злоумышленнику личную информацию, что является своего рода уязвимостью, известной как межсайтовый скриптинг . [1]

Обзор [ править ]

Self-XSS работает, обманывая пользователей, заставляя их копировать и вставлять вредоносный контент в консоль веб-разработчика своих браузеров . [1] Обычно злоумышленник публикует сообщение, в котором говорится, что, скопировав и запустив определенный код, пользователь сможет взломать учетную запись другого пользователя. Фактически, код позволяет злоумышленнику захватить учетную запись жертвы. [2]

История и смягчение последствий [ править ]

В прошлом имела место очень похожая атака, при которой пользователей обманом заставляли вставлять вредоносный код JavaScript в свою адресную строку. Когда поставщики браузеров остановили это, предотвратив простой запуск JavaScript из адресной строки, [3] [4] злоумышленники начали использовать Self-XSS в его текущей форме. Поставщики веб-браузеров и веб-сайты предприняли шаги для смягчения этой атаки. Firefox [5] и Google Chrome [6] начали внедрять меры безопасности, чтобы предупреждать пользователей об атаках Self-XSS. Facebook и другие пользователи теперь отображают предупреждающее сообщение, когда пользователи открывают консоль веб-разработчика, и ссылаются на страницы с подробным описанием атаки. [7] [8]

Этимология [ править ]

«Я» часть имени происходит от того факта, что пользователь атакует самого себя. Часть имени «XSS» происходит от аббревиатуры межсайтового скриптинга , потому что обе атаки приводят к запуску вредоносного кода на легитимном сайте. Однако у этих атак нет ничего общего, потому что XSS - это атака против самого веб-сайта (от которой пользователи не могут защитить себя, но могут быть исправлены оператором сайта, сделав свой сайт более безопасным), тогда как Self-XSS - это атака. атака социальной инженерии на пользователя (от которой опытные пользователи могут защитить себя, но оператор сайта ничего не может с этим поделать). [9]

Ссылки [ править ]

  1. ^ a b Шарр, Джилл (28 июля 2014 г.). «Мошенничество в Facebook заставляет пользователей взламывать самих себя» . Руководство Тома США . Purch . Проверено 27 сентября 2014 года .
  2. ^ «Угрозы безопасности социальных сетей» . Sophos . nd . Проверено 27 сентября 2014 года .
  3. ^ «Ошибка 656433 - Запрещает URL-адресам javascript: и data:, введенным в адресную строку, наследовать принципал текущей загруженной страницы» . Bugzilla . Mozilla Foundation. 11 мая 2011 . Проверено 28 сентября 2014 года .
  4. ^ «Проблема 82181: [Linux] Удаление схемы javascript: из вставки / удаления в омнибокс» . Код Google . Google . 10 мая 2011 . Проверено 28 сентября 2014 года .
  5. ^ «Ошибка 994134 - Предупреждать начинающих пользователей о вставке кода в консоль» . Bugzilla . Mozilla Foundation. 9 апреля 2014 . Проверено 28 сентября 2014 года .
  6. ^ «Проблема 345205: DevTools: Combat Self-XSS» . Код Google . Google . 10 мая 2011 . Проверено 28 сентября 2014 года .
  7. ^ "Как выглядит мошенничество Self-XSS?" . Справка Facebook . Facebook . 11 июля 2014 . Проверено 27 сентября 2014 года .
  8. ^ "Что такое Self-XSS?" . Справка Facebook . Facebook . 15 июля 2014 . Проверено 27 сентября 2014 года .
  9. ^ Илашку, Йонут (28 июля 2014). «Хакеры обманывают пользователей Facebook в мошенничестве с самопроизвольным межсайтовым скриптингом (XSS)» . Софтпедия . SoftNews NET SRL . Проверено 27 сентября 2014 года .

Дальнейшее чтение [ править ]

  • Маккейни, Кевин (16 ноября 2011 г.). «4 способа избежать эксплойта в спам-атаке Facebook» . GCN . 1105 Медиа Группа государственного сектора . Проверено 28 сентября 2014 года .